Titel: Chef informationsstyrning och säkerhet på Läkemedelsverket Uppgift: Att bygga upp ett fungerande program för informationssäkerheten och se till att informationssäkerhetsfrågorna tas om hand på ett riktigt sätt i Läkemedelsverkets projekt för att digitalisera all information. Vem är JOA? Övriga uppdrag: Ordförande i svenska standardiseringskommittén för att ta fram och införa ledningssystem för informationssäkerhet. Tidigare uppdrag: Yrkesofficer, säkerhetshandläggare på Vattenfall, Säkerhetschef på Ericsson Telecom, Säkerhetsexpert på Trygg-Hansa, Risk manager på Bull och Säkerhetschef på Riksbanken. Familj: Fru och två vuxna barn. Intressen: Skriva om informationssäkerhet, båten, musik och matlagning.
Vår vision: Skapat förutsättningar för rätt säkerhet i samhället genom att standarderna i ISO 27000-serien är det naturliga valet för styrt informationssäkerhetsarbete.
Samarbetspartners: Datainspektionen, Försvarets materielverk, FRA, ISACA Sweden Chapter, Krisberedskapsmyndigheten, Post- och Telestyrelsen, SIG Security, Stiftelsen för internetinfrastruktur, Svenskt Näringsliv/NSD, Verva
Intro huvudsponsor Ekelöw InfoSecurity är ett ledande företag i Norden inom området riskhantering och informationssäkerhet, med omfattande erfarenheter av konsultuppdrag inom det privata näringslivet, offentlig verksamhet och intresseorganisationer. Ekelöw ser arbetet med 27000-serien och deltagandet i SIS TK318 på nationell och internationell nivå som en av bolagets strategiska hörnstenar vad avser t ex. metodutveckling, tjänstepaket och kvalitetssäkring avseende informationssäkerhetsarbete
EIS erfa Marknaden och 27000 Ett tydligt ökat intresse i samband med pågående uppdrag samt upphandlingar och offerter, både vad avser kundens verksamhet samt i förhållande till tredje part (Ref Vervas regleringsbrev) Det förefaller som intresset för certifiering ökar även om det ännu inte avspeglar sig i statistiken vad gäller tilldelade certifikat Många organisationer har idag ett verksamhetsbaserat ledningssystem på plats. Centrala framgångsfaktorer: Integration med existerande ramverk och processer centralt för effektivt och framgångsrikt arbete med LIS! Tydliga mål och verksamhetsfokus! Sponsorship, ett tydligt intresse och engagemang från ledningen!
Utredningar CIO; CSO, PriceWaterhouseCoopers: The 5th Annual Global state of Information Security 7200 svaranden på sex kontinenter under 2007
Sammanfattning Awareness of the problematic nature of information security is approaching an all-time high. Out of every IT dollar spent, 15 cents goes to security. Security staff is being hired at an increasing rate. Surprisingly, however, enterprise security isn t improving. You ve added processes. Three years ago, only 37 percent of companies reported having an overall security strategy. This year, 57 percent did. Also, nearly four out of five companies conducted enterprise risk assessments, at least periodically. You ve deployed technology. Nine out of 10 respondents said they use firewalls, monitor users and rely on intrusion detection infrastructure, and that number approached 98 percent when responses were limited to larger companies (more than $1 billion in revenue). Encryption is at an all-time high, with 72 percent reporting some use of it (compared to 48 percent last year).
Sammanfattning forts. You ve hired people. The number of CISOs and CSOs employed continues to rise. And the mean number of information security workers per company has topped 100, most likely due to more outsourcing and the use of contract employees. You ve crafted an infrastructure for understanding. You re seeing it, and that s why you re feeling it. You re undergoing a shift from a somewhat blissful ignorance of the serious flaws in computer security to a largely depressing knowledge of them.
Informationssäkerhets infrastruktur
Vem attackerar oss?
Global fokus på informationssäkerhet
Konvergens mellan fysisk säkerhet och informationssäkerhet
Läs gärna också!
Principer för standardisering Öppenhet Konsensus Standardisering Frivillighet Intressentstyrt
Hur är arbetet organiserat? IEC ISO ISO/IEC JTC 1 IT SIS SC 27 Security Techniques WG 1 ISMS SIS TK 318 LIS
TK 318s organisation TK 318 Jan-Olof Andersson AG 1 Marknad Bengt Rydstedt AG 2 Strategi Jan-Olof Andersson AG 4 Tolkning AG 3 Mätning Lars Gunnerholm AG 5 Regelverk Anders Carlstedt AG 6 Handbok Gunnar Lindström AG 7 Grund- Standard Lars Söderlund AG 8 Riskhantering Anders Carlstedt AG 10 Införande Dan Larsson
Att vara med i ISO 27000-arbetet Löpande öppet för nya projektdeltagare Mer bredd bland projektdeltagarna Användare behövs Deltagaren satsar: - Egen kompetens och tid - Delfinansiering av projektet Deltagaren får: - Möjlighet att påverka ISO 27000-serien - Tillgång till alla standarder i ISO 27000-serien och relaterande standardiseringsområden - Tillgång till svenskt och internationellt nätverk - Tidig information om de nya standarderna - Ny kompetens
Motiv till 27000 serien Relevant nivå på säkerheten till rimlig kostnad Olika myndigheter och organisationer har olika behov och hotbilder. Standarden ger en basstruktur inom vilken varje organisation kan anpassa nivån till sin verkliga och dagsaktuella situation. Enhetligt ramverk ger fokus på konkret förbättrad säkerhet Genom att tillämpa ramverket i standarden får ledningen kontroll över informationssäkerheten. Världen har valt ISO/IEC 17799 som sin informationssäkerhetsstandard ISO/IEC 17799 antogs som global ISO-standard år 2000 och är den gällande informationssäkerhetsstandarden världen över.
STANDARD 27000 Information security management systems Overview and vocabulary (under development) REQUIREMENTS STANDARDS 27001 Information security management systems Requirements 27006 Requirements for bodies providing audit and certification of information security management systems GUIDELINES STANDARDS (INFORMATION SECURITY MANAGEMENT STANDARDS) 27002 (ISO/IEC 17799) Code of practice for information security management 27003 Information security management systems implementation guidance (under development) 27004 Information security management measurements (under development) 27005 Information security risk management (under development) 27007 ISMS Auditor Guidelines (NWIP) GUIDELINES STANDARDS 13335-1 Management of information and communications technology security (MICTS) Part 1: Concepts and models for managing and planning ICT security (Published) SECTOR-SPECIFIC REQUIREMENTS/GUIDELINES STANDARDS Information security management guidelines for telecommunications (X.1051/27011) TR 13569 Banking and related financial services Information security guidelines (Published) 27799 Health informatics -- Security management in health using ISO/IEC 27002 (under development) Sector-Specific ISMS Standards for the World Lottery Association (Study Period) Sector-Specific ISMS Standards for the Automotive Industry (Study Period)
Terminology 27000 Overview & Vocabulary Requirement 27001 ISMS Requirements 27006 Accreditation Requirements Support PDCA 27002 Code of Practice 27003 Implementation Guidance 27004 Management Measurement 27005 Risk Management 27007 ISMS Auditor Guidelines Guideline Sector Specific 27011 Telecom WLA Automotive Health and care (27799) Control Implementation 13335-X ICT Security - 3 4 5 15947 IDS Framework 18028-X Network Security - 1 2 3 18043 IDS Management 4 5 18044 Incident Management
ISMS Family of Standards The documents that are to be included in the 27000-27009 series are those that are related to the mandatory requirements given in ISO/IEC 27001 in such a way that: (a) They provide direct support and give detailed guidance (i.e. they do not specify any mandatory requirements) for the implementation of the PDCA processes defined in ISO/IEC 27001, e.g. a. Defining scopes for information security management systems b. Risk assessment c. Identification of assets d. Effectiveness of information security (b) They contribute and add value to ISO/IEC 27001 of the PDCA processes (c) Each standard in the 27000-27009 series specifies in its scope its relationship to ISO/IEC 27001 and what guidance support it provides
Källa: Demings
Översikt PDCA processen Plan Planera Do Genomföra Check Följa upp Act Förbättra Definiera omfattning Definiera och fastställa policy Genomför riskanalys Välj skyddsåtgärder att införa Ta fram underlag om tillämplighet Inhämta ledningens godkännande att fortsätta Införa rutiner för riskhantering Införa rutiner för Incidenthantering Införa eller anpassa regelverket Utbilda personalen Införa övervakande rutiner Genomför regelbundna granskningar Dokumentera förslag till förbättringar Rapportera till ledningen Analysera och genomför förbättringar Utbilda och informera om förbättringarna
Certifieringar sedan 2002
Certifieringar
Ett verksamhetssystem!! Bild: Att integrera ledningssystem, Gerhard Persson